NAT Gatewayはセッションログ機能を提供します。NAT ゲートウェイの SNAT エントリを作成し、トラフィックが NAT ゲートウェイを通過すると、SNAT セッションがログエントリとして記録され、追跡と監視が容易になります。
機能紹介
SNAT セッションはログエントリとして記録され、Simple Log Service プロジェクトに配信されます。各セッションログは、約 10 分間のタイムウィンドウ内でキャプチャされた 5 タプルネットワークフローを記録します。この期間中、セッションログは最初にデータを集計し、Simple Log Service に配信します。データは通常 5 分以内に配信されます。ただし、配信を確実にするために、セッションログが時間どおりに配信されない場合があります。ネットワーク遅延または配信遅延により、セッションログが 100% 配信されない場合があります。
セッションログデータの収集は、NAT ゲートウェイのスループットまたはレイテンシに影響しません。
次の表に、セッションログのフィールドを示します。
フィールド | 説明 |
instance | NAT ゲートウェイ ID。 |
vpc_id | NAT ゲートウェイが属する VPC(Virtual Private Cloud)の ID。 |
protocol | IANA(Internet Assigned Numbers Authority)プロトコル番号。1 は ICMP、6 は TCP、17 は UDP を示します。 詳細については、「Protocol Numbers」をご参照ください。 |
pri_ip | 送信元 IP アドレス。 |
pri_port | 送信元ポート。 説明 パケットが ICMP を使用する場合、pri_port は ICMP ID を示します。 |
pub_ip | 宛先 IP アドレス。 |
pub_port | 宛先ポート。 |
nat_ip |
|
nat_port |
|
bytes_from_pub |
|
pkts_from_pub |
|
bytes_from_vpc | VPC からのトラフィック量。 |
pkts_from_vpc | VPC からのパケット数。 |
start_time | セッションログが作成された時刻。 |
end_time | セッションログが停止された時刻。 |
課金
セッションログ機能の使用は無料です。ただし、記録された SNAT セッションは Simple Log Service プロジェクトに保存され、Simple Log Service の使用に対して課金されます。詳細については、「Simple Log Service の課金」をご参照ください。
制限
従量課金制 NAT ゲートウェイ(購入不可)では、セッションログ機能を有効にできません。
NAT ゲートウェイと Simple Log Service プロジェクトは、同じリージョンに属している必要があります。
セッションログは DNAT セッションをキャプチャしません。
手順
プロジェクトを作成する
Simple Log Service のプロジェクトを作成する必要があります。詳細については、「プロジェクトを作成する」をご参照ください。
Logstore を作成する
Logstore は、プロジェクト内のリソースのコレクションです。Logstore 内のすべてのデータは、同じソースから取得されます。プロジェクトを作成した後、Logstore を作成する必要があります。詳細については、「Logstore を作成する」をご参照ください。
セッションログを開始する
セッションログを開始して SNAT セッションを記録し、ログエントリを Simple Log Service に配信します。詳細については、「セッションログを開始する」をご参照ください。
セッションログを開始する
NAT ゲートウェイコンソール にログインします。上部のナビゲーションバーで、NAT ゲートウェイが存在するリージョンを選択します。
左側のナビゲーションウィンドウで、[インターネット NAT ゲートウェイ] または [VPC NAT ゲートウェイ] をクリックします。NAT ゲートウェイを見つけて、その ID をクリックします。
[基本情報] ページで、 タブを選択し、[セッションログを有効にする] をクリックします。
セッションログを表示する
NAT ゲートウェイコンソール にログインします。上部のナビゲーションバーで、NAT ゲートウェイが存在するリージョンを選択します。
左側のナビゲーションウィンドウで、[インターネット NAT ゲートウェイ] または [VPC NAT ゲートウェイ] をクリックします。NAT ゲートウェイを見つけて、その ID をクリックします。
[基本情報] ページで、 タブを選択し、[宛先情報] 列の名前をクリックします。
パラメーター
説明
セッションログステータス
セッションログが開始されると、有効 と表示されます。
セッションログを開始すると、システムは自動的に
AliyunServiceRolePolicyForNatgwLogDeliveryサービスロールを作成し、Simple Log Service にデータが配信されるようにします。詳細については、「AliyunServiceRolePolicyForNatgwLogDelivery」をご参照ください。配信ステータス
セッションログの配信ステータス。有効な値:
成功: セッションログは Simple Log Service に配信されます。
変更中: セッションログは変更中または開始中です。
失敗: セッションログを Simple Log Service に配信できませんでした。詳細については、「エラーコード」をご参照ください。
配信タイプ
配信タイプ。値を sls に設定します。
宛先情報
[宛先情報] 列で Logstore リンクをクリックして、Simple Log Service コンソールに移動します。ログを表示および分析する前に、セッションログの配信先である Logstore のインデックスを手動で作成する必要があります。詳細については、「インデックスを作成する」および「ログをクエリおよび分析する」をご参照ください。
セッションログを無効にする
NAT ゲートウェイコンソール にログインします。上部のナビゲーションバーで、NAT ゲートウェイが存在するリージョンを選択します。
左側のナビゲーションウィンドウで、[インターネット NAT ゲートウェイ] または [VPC NAT ゲートウェイ] をクリックします。NAT ゲートウェイを見つけて、その ID をクリックします。
基本情報 ページで、 を選択し、セッションログを見つけて、[アクション] 列の [停止] をクリックします。
配信エラーコード
エラーコード | 説明 |
ProjectNotExist | 宛先プロジェクトが存在しません。 |
LogStoreNotExist | 宛先 Logstore が存在しません。 |
ProjectForbidden | プロジェクトは無効になっています。原因は支払い遅延である可能性があります。 |
InvalidAccessKeyId | セッションログの開始時にサービスロールが作成されていません。 |
Unauthorized | セッションログの開始時にサービスロールが作成されていません。 |
UnavaliableTarget | 次のエラーコードのいずれかが返された場合、ログエントリを 5 分以内に宛先に配信できません。Unauthorized、ProjectNotExist、LogStoreNotExist、ProjectForbidden。5 分後に新しいデータを配信する必要がある場合、システムは配信テストを実行します。テストが成功した場合、新しいデータが配信されます。そうでない場合、配信はさらに 5 分間無効になります。 |
WriteQuotaExceed | プロジェクトへの書き込みトラフィックが上限を超えています。デフォルトでは、プロジェクト内のすべての Logstore は 1 分あたり最大 30 GB の書き込みトラフィックをサポートします。 |
ShardWriteQuotaExceed | ログセッションのトラフィックが大きく、Logstore 内のシャードが不十分な場合は、より多くのシャードに分割することをお勧めします。詳細については、「シャードを管理する」をご参照ください。 |